O surgimento de diversos escândalos sobre vazamento de dados pessoais, como o caso “Facebook-Cambridge Analytica”, que envolveu o tratamento de milhões de dados pessoais de usuários do Facebook que foram utilizados para influenciar a opinião de eleitores em vários países, o que resultou até em documentário da Netflix, com o título: “Privacidade Hackeada”, trouxe à tona a preocupação da privacidade e proteção de dados pessoais, que passou por muito tempo despercebida.
No Brasil, a discussão sobre a proteção de dados ganhou força em 2018 com a promulgação da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018), tendo a mais recente conquista cravada em fevereiro do corrente ano, pela Emenda Constitucional nº 115/2022, a qual elevou a proteção de dados pessoais à categoria de direito fundamental, sendo incluso no artigo 5º, inciso LXXIX da Constituição.
Desde o advento da Lei, observa-se que uma das maiores dificuldades na implantação de um Sistema de Privacidade e Proteção de Dados é o aculturamento, ou seja, desenvolver no dia a dia a cultura do cuidado com os dados pessoais, seja comportamental ou operacional, e adequar os processos diários, visando à proteção e privacidade dos dados dos titulares que estão envolvidos na atividade econômica.
Isso posto, pois referido tema não era levado em consideração pelo brasileiro antes da entrada em vigor da mencionada legislação, sendo, até então, os dados pessoais utilizados como bem entendido pelas empresas e instituições.
Visto isso, para que a mudança de cultura seja concretizada, alguns fatores precisam ser observados, dentre eles, a própria LGPD nos orienta sobre questões referente às boas práticas e governança, conforme se verifica no artigo 50 da Lei, vejamos:
“Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.”
Dessa forma, cabe aos agentes de tratamento definir um conjunto de boas práticas, as quais são estabelecidas em políticas e que devem ser lideradas e suportadas pelos responsáveis pela gestão da organização, demonstrando um comprometimento com o sistema de privacidade e proteção de dados implementado, para que assim haja o engajamento dos demais envolvidos na operação, visando um nível de proteção de dados pessoais adequado e esperado pelos titulares.
Nesse sentido, cabe mencionar que a LGPD expressa que o agente de tratamento deverá observar no mínimo que o Sistema de Privacidade e Proteção de Dados esteja integrado a sua estrutura geral de governança, além de demonstrar o comprometimento com as normativas internas e boas práticas com relação à proteção de dados pessoais, vejamos:
“Art. 50. §2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
I – implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais.
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos.”
Sendo assim, observa-se que as políticas possuem grande relevância para a adequação à LGPD, uma vez que referidos instrumentos descrevem as regras de proteção à privacidade e os procedimentos de tratamento das informações pessoais dos titulares que fazem parte da trajetória do agente de tratamento.
As políticas são desenvolvidas de acordo com a necessidade e realidade de cada empresa, e o conteúdo de cada uma delas pode variar entre informações para os usuários externos, como clientes e parceiros, apontando como os dados pessoais são tratados, para quais finalidades, como são armazenados ou compartilhados, dentre outros conteúdos, essa definida como Política de Privacidade Externa, a qual normalmente é divulgada nos sites de cada agente. Nesse sentido, há ainda a Política de Cookies, a qual também é divulgada nos sites das instituições, contemplando a menção de quais cookies são coletados no website, bem como quais são as finalidades de cada um deles. Ademais, com o objetivo de definir e informar ao titular quais são os seus direitos e como exercer cada um deles, existe a previsão da Política de Direitos dos Titulares.
Além disso, há a possibilidade de ser elaborada uma Política de Privacidade Interna, que trata questões relacionadas aos colaboradores, condutas que devem seguir e as sanções que podem ser aplicadas caso descumpridas as diretrizes expostas no documento. Visando também o público interno das empresas, existe a Política de Retenção e Descarte, que expressa sobre o armazenamento, eliminação dos dados pessoais, bem como sobre o prazo de retenção deles. E ainda, a Política de Segurança da Informação, que trata de questões técnicas que os colaboradores e parceiros devem observar para assegurar as informações de cada instituição.
Portanto, verifica-se que a governança é regida por políticas, que determinam as diretrizes e boas práticas que precisam refletir a realidade das organizações, as quais devem ser observadas pelos colaboradores e terceiros que se relacionam com a organização e aplicadas nos processos diários que são realizados, para que a soma dessas condutas possa resultar em uma mudança de cultura e demonstrar a boa-fé dos agentes de tratamento em tratar dados com segurança, de acordo com a Lei e minimizar o risco de uso indevido das informações.